CN108234431A - 一种后台登陆行为检测方法和检测服务器 - Google Patents
一种后台登陆行为检测方法和检测服务器 Download PDFInfo
- Publication number
- CN108234431A CN108234431A CN201611199355.3A CN201611199355A CN108234431A CN 108234431 A CN108234431 A CN 108234431A CN 201611199355 A CN201611199355 A CN 201611199355A CN 108234431 A CN108234431 A CN 108234431A
- Authority
- CN
- China
- Prior art keywords
- backstage
- log
- request
- logs
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了一种后台登陆行为检测方法和检测服务器,其中,该方法包括:获取网络流量数据;将所述网络流量数据与预设规则进行匹配,识别出所述网络流量数据中的网站后台登陆请求;记录识别出的网站后台登陆请求。利用本申请实施例提供的技术方案,可以有效解决现有的后台登陆行为检测方法所存在的会对业务产生影响且可检测效率低下的技术问题,达到了在不对业务产生影响的情况下,简单高效检测后台登陆行为的技术效果。
Description
技术领域
本申请属于互联网技术领域,尤其涉及一种后台登陆行为检测方法和检测服务器。
背景技术
网站后台是网站管理员用于对网站内容信息进行管理的控制模块,网站后台一般用于网站信息的更新、修改,系统配置等操作。对目前发生的入侵事件进行统计后,发现超过50%的安全事件与后台入侵行为有关,这主要是因为后台具有丰富的功能,黑客可以通过后台窃取很多敏感数据。在一次攻击过程中,黑客通常会先扫描并尝试登陆网站后台,在登陆成功后,再进行进一步的恶意行为,即,后台是很多黑客重点关注的对象。
由此可见,有效检测后台登陆事件,对于发现攻击威胁有着重要的作用。然而,目前,针对后台登陆事件的检测,一般需要在具体的业务代码中进行,也就是需要在业务本身增加业务代码,才能实现,且不同的业务需要针对业务加入不同的代码才能检测后台登陆事件,通用性比较差,无法大范围实施。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本申请目的在于提供一种后台登陆行为检测方法和检测服务器,可以实现简单高效检测后台登陆行为的目的。
本申请提供一种后台登陆行为检测方法和检测服务器,是这样实现的:
一种后台登陆行为检测方法,所述方法包括:
获取网络流量数据;
将所述网络流量数据与预设规则进行匹配,识别出所述网络流量数据中的网站后台登陆请求;
记录识别出的网站后台登陆请求。
一种检测服务器,该检测服务器包括:
处理器和存储器,其中,所述处理器,用于获取网络流量数据;将所述网络流量数据与预设规则进行匹配,识别出所述网络流量数据中的网站后台登陆请求;
所述存储器,用于记录识别出的网站后台登陆请求。
本申请提供的后台登陆行为检测方法和检测服务器,通过将网络流量与预设规则进行匹配,从而识别出网络流量数据中的后台登陆请求,而无需对业务或应用的代码进行修改,从而有效解决了现有的后台登陆行为检测方法所存在的会对业务产生影响且可检测效率低下的技术问题,达到了在不对业务产生影响的情况下,简单高效检测后台登陆行为的技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的后台登陆行为检测方法示意图;
图2是本申请提供的登陆成功信息和登录失败信息获取方法流程图;
图3是本申请提供的异地登陆检测流程图;
图4是本申请提供的XX购物网站基于客户端和后台服务器的架构图;
图5是本申请提供的检测服务器一种实施例的模块结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
考虑到当下超过50%的安全事件是与入侵行为有关的,因此,后台登陆事件的检测对于发现攻击威胁意义重大。现有的检测后台登陆事件的方法,主要是通过对业务中的代码进行修改,即,在业务内部增加检测逻辑,以确定是否有后台登陆行为。然而,这种方式导致的问题就是,会对业务产生影响,且因为是内置在业务内部的逻辑代码的修改,因此,适应性和可移植性比较低。
在本例中,提供了一种后台登陆行为检测方法,可以如图1所示,该方法不需要对业务或者应用原有的代码进行修改,而是以网络流量作为分析的基础数据,将网络流量数据与预设规则进行匹配,识别出网络流量数据中的网站后台登陆请求,并记录识别出的网站后台登陆请求记录如果有的话,则记录后台登陆行为。
其中,服务器可以是由具有数据存储和数据处理功能的一个计算机或多个计算机组成。其中,所述服务器和所述客户端一般可以通过移动网络、有线网络或者无线网络等互联网络进行数据交互。具体地,所述数据交互可以包括:客户端发送某个具体请求给服务器,服务器将该请求对应的数据结果反馈给客户端等。
客户端可以通过用户操作主动向服务器发起请求,用户操作具体可以是用户通过客户端的输入设备,对客户端内部对象的控制。例如,用户通过客户端的触摸式显示器,点击客户端提供的虚拟按钮;或者,用户通过客户端的鼠标,键盘等。在一个具体的示例中,用户可以在浏览器的搜索框中,输入一个目标网址,从而生成一个访问请求。
用户通过客户端请求登陆后台,其中,客户端可以是客户操作使用的终端设备或者软件。具体的,客户端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能手表或者其它可穿戴设备等终端设备。当然,客户端也可以是能运行于上述终端设备中的软件。例如:手机淘宝、支付宝或者浏览器等应用软件。
上述的业务或者应用,可以是一个搜索网站,也可以是一个购物网络平台,或者是一个应用平台,也可以是游戏平台,或者是一些移动终端或者是电脑等上面所安装的各类应用程序等。
其中,所谓的网络流量,可以是用户对网站进行访问的访问信息,为了使得获取数据本身不会对业务或者应用产生影响,在本例中,可以获取镜像网络流量数据。其中,镜像网络流量数据就是通过端口镜像(port mirroring)功能在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。这种获取网络流量数据的方式可以不对业务或应用产生任何的影响,也无需对业务代码或者应用代码进行修改。为了实现对网络环境等的实时监控,有些监控模块等也是需要获取镜像网络流量数据的,因此,也可以直接从这些监控模块获取网络流量数据。
对于Web服务器而言,一般后台访问使用的是超文本传输协议(Hyper TextTransfer Protocol,简称为HTTP)协议,因此,后台登陆行为一般也都是基于http请求实现的。由此考虑到可以通过对网络流量中的http请求报文进行检测,来筛选出后台登陆行为。在实际的网络流量中,一般不仅有后台访问请求,也有前台访问请求,因此,在从网络流量中识别出http请求后,还可以从识别出的http请求中识别出哪些是后台登陆请求。由于一般网站登陆请求、网页登陆请求或者是应用登陆请求中,都会携带一些字段信息,这些字段信息中会携带有很多的登录信息,例如:该请求所请求的服务器上的哪个资源,或者发起该请求的IP地址等等。
网站后台主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理。简单来说就是对网站数据库和文件的快速操作和管理系统,以使得前台内容能够得到及时更新和调整。
以http请求为例,基于的http协议报文是有固定的格式的,例如,可以包括但不限于以下几个字段:
1)URL:表示当前请求传递给服务器上哪个资源进行处理;
2)Host:表示当前请求的域名;
3)源IP:表示发起当前请求的IP地址;
4)method:表示当前请求使用的HTTP方法,例如:GET、POST;
5)post数据包:当使用POST方法时,向服务器传送的数据包,通常用户登陆的用户名和密码信息存放在此字段;
6)set-cookie:表示当前服务器设置的cookie字段信息;
7)Location:浏览器接收到此请求时,会跳转至Location字段中指定的地址。
由此可见,基于对http请求各个字段的分析,可以得到很多的登陆请求信息。假设需要确定一条http请求是否是后台登陆请求,那么就可以提取出该http请求的URL字段,因为该字段指明了当前的http请求是否请求的是后台页面。网站后台地址一般都是默认的,因此,只要提取中URL字段中的URL地址,与默认的后台地址进行匹配即可,如果匹配成功,则表明该http请求是后台登陆请求,以下是列举的集中后台地址的例子:
/admin/index.asp
/admin/login.asp
/admin/admin_login.asp
/manage/index.asp
假设当前业务或者应用的后台地址为:/admin/admin_login.asp,当前http请求中的URL字段也是/admin/admin_login.asp,那么就表明该http请求是后台登陆请求。
在获取网络流量的时候,可以是将当前节点的镜像网络流量数据都获取过来,然后逐一判断是否是http请求,然后在从确定出的http请求中查找出后台请求,排除前台请求。也可以是在获取网络流量的时候,就仅请求镜像网络流量数据中的http请求。即,可以将所有的流量数据都取过来作为待分析数据,也可以是仅提取其中的所有HTTP协议的报文,这个筛选操作可以是在检测服务器中进行的,也可以是在从镜像接口进行数据提取时候就进行筛选的。对于提取的数据可以直接进行分析处理,也可以先将其存放在数据库中,排队等待处理。在具体实施的时候,可以根据需要或者是根据接口或者是服务器的处理能力等,选择采用哪种方式获取哪些流量数据,对此,本申请不作限定。
上述的数据筛选过程,可以是按照固定格式进行提取和筛选的,即可以一条条记录筛选,确定各条记录是否满足HTTP协议报文的标准格式,如果满足,则将其作为一条后续需要检测分析的HTTP协议报文记录,如果不满足HTTP协议报文的标准格式,则忽略该条记录。在进行数据筛选的时候,为了使得检测结果更为准确,可以逐条遍历筛选,即,尽可能地遍历到每条记录。为了使得筛选效率更高,减少数据处理的时间,可以采用多核处理器并行进行数据筛选,也可以采用现在的大数据分析技术等,进行筛选,以便在尽量短的时间内完成识别。当然具体的筛选方式可以按照实际情况和需要确定,本申请不作限定。
在客户端与服务器交互的过程,一种都会有正常的请求和访问,这些请求可以是基于HTTP1.1(Hypertext Transfer Protocol Version 1.1)超文本传输协议的,这个协议具有固定的标准格式,可以在通过交换机镜像的流量中,根据此协议的格式,可以提取出所有HTTP协议的报文,并可以将提取到的所有报文,记录到数据库中,以实现上述后台登陆请求的判断操作。
通过上述步骤和方式可以确定出当前是否有后台登陆请求,在确定有后台登陆请求后,就可以对该后台登陆请求行为进行记录。进一步的,考虑到仅记录有后台登陆请求行为对安全性的管控并不会很多,为此,还可以确定后台登陆是否成功,以及当前的后台登陆是否有风险等等,这些都是可以作为安全性分析的重要因素。下面对如何确认后台登陆是否成功以及后台登陆的报警提醒等进行说明。
1)确定后台登陆行为是否成功
上述分析中介绍了,http请求中携带有多个字段,每个字段都携带这不同的信息,例如:Location字段:浏览器接收到此请求时,会跳转至Location字段中指定的地址;set-cookie:表示当前服务器设置的cookie字段信息。经过分析后发现,如果登陆成功,那么set-cookie字段会包含登陆成功后新生成的cookie字段信息;location字段会指定浏览器跳转到后台首页。然而,如果登陆失败,仅会返回“用户名、密码错误”之类的提示页面,不会set-cookie或跳转到后台首页地址。
因此,可以基于这些规则作为后台登陆请求是否成功的判断依据,考虑到这些数据都是字段在http日志中都是有的,不同的网站后台,具体的规则表现形式也是不同的,为了使得该检测方法可以适用于所有的网站后台,可以采用聚类分析的方式,即,可以对待检测网站的http日志进行聚类分析,以生成适应于该待检测网站的识别检测规则,这些识别检测规则可以以模型的方式存在,即,只要获取到流量数据后,将该流量数据中放入已建立的或者说训练完成的模型,就可以识别出其中是否有后台登陆请求,以及其中的后台登陆请求是否登陆成功。
即,为了确定识别出的网站后台登陆请求是否登陆成功,可以先提取识别出的网站后台登陆请求的HTTP请求中的字段信息;然后,再将提取的字段信息与预设的后台登陆成功规则进行匹配;如果匹配成功,则确定登陆成功;如果匹配失败,则确定登陆失败。其中,预设的后台登陆成功规则可以按照以下方式生成:获取当前网站的HTTP日志;从HTTP日志中,提取多条HTTP请求;从多条HTTP请求中,识别出后台登陆请求;提取识别出的后台登陆请求的字段信息;对提取的字段信息进行特征聚类,生成后台登陆成功规则。
如图2所示,可以按照如图2所示的方式获取登陆成功信息和登录失败信息,即,提取http日志字段,确定是否有后台登陆页面,如果有,就确定是否命中登陆成功规则,无论是登陆成功信息还是登陆失败信息都进行记录。
即,根据上述http各个字段在登陆成功和登陆失败时候的特征,通过收集不同系统后台登陆成功的特征,即可通过流量中这些字段的信息,准确匹配后台登陆事件,以及后台登陆是否成功。
为了使得可以对后台登陆事件进行有效的监控和预警,还可以在确定有后台登陆请求的情况下,记录后台登陆请求的源IP地址、用户名、密码等信息,以便做出正确的预警和分析。
2)后台登陆的报警提醒
考虑到有时有些人可以窃取到合法的后台登陆的用户名和密码,这样就存在登陆成功的可能性,为了对这种情况进行一定的预警,可以将用户登陆的地址作为一个考量因素,这主要是因为后台一般是网站管理人员才会登陆的,而管理人员的分布具有一定的地域性。例如,某网站的总部和分部主要在:杭州、北京、上海。如果不是在这几个地方登陆的,那么可以认为存在一定的风险性。
因此,对于已经确认登陆成功的后台登陆事件,可以进一步判断其登陆的地理位置,如果不是常用登陆地,则可以发出报警。即,通过异地登陆预警实现对一次非常用登陆地址后台登陆事件的告警功能。当登陆成功事件触发时候,会将此时登陆的源IP地址转化为地理位置,判断该地理位置是否为常用登陆地,如果非常用登陆地,则发出告警。
上述的常用登陆地可以是预设的,也可以是通过训练学习得到的,常用登陆地可以采用表格的方式进行存储,例如,可以如下表1所示:
在获取到登陆成功的后台登陆请求之后,可以通过后台登陆请求中的源IP字段识别其中的源IP地址,然后将源IP地址转换为地理位置。进而,再将转换得到的地理位置与预设的常用登陆地一一进行匹配,例如,以表1为例,可以先判断转换得到的地理位置是不是北京,如果是,则认为当前登陆请求是安全的,不需要进行报警,如果判断不是北京,再继续判断转换得到的地理位置是否是杭州,如果还不是则确定是不是上海,直至遍历完所有的预设常用登陆地,如果都未匹配到,则认为该后台登陆事件是危险的,在可以发起报警。具体地执行流程可以如图3所示。然而值得注意的是,上述常用登陆地的地址和个数,仅是一种示意性描述,并不构成对本申请的不当限定。
进一步的,上述常用登陆地可以通过学习得到的,例如,可以通过http日志,针对近期登陆过该后台地址的源IP进行建模分析,计算出每个源IP地址对应的地理位置,在这个过程中,可以对地理位置进行省份、城市等的分类,例如,通过某地登陆的成功率、或者次数大于预设阈值,或者是通过某地成功登陆占据所有成功登陆的比例大于预设的阈值,就可以将该地理位置作为常用登陆地址。这个常用登陆地址可以是动态变化,实时训练的,例如,每天都对近15天的数据进行统计分析,将统计分析结果作为当前的常用登陆地址。
上述是以城市名作为常用登陆地,还可以将其扩展到国家,或者是细致地划分到某个城市的某个区,或者,也可以采用经纬度范围表示常用登陆地。当然,如果后台是固定某几台机器可以登陆,那么通过源IP地址就可以直接判断是否是安全登陆事件。在具体实现的时候,可以根据需要选择常用地的选择和设定方法,本申请对此不作限定。
在上例中,提出了一种通用的基于网络流量的后台登陆行为的检测方法,无需对业务原有代码进行修改。进一步的,通过采用网络流量作为基础数据,对流量中的行为进行提取分析,识别网站的后台地址,并对后台登陆事件进行检测,判断出登陆成功和失败状态,针对异地登陆事件进行预警,可以有效提高后台登陆行为检测的准确性和效率。
下面结合一具体实施例对上述后台登陆行为检测方法进行具体说明,然而,值得注意的是,该具体实施例仅是为了更好地说明本申请,并不构成对本申请的不当限定。
如图4所示,是XX购物网站基于客户端和后台服务器的架构图,其中,用户可以通过客户端访问该购物网站,也可以通过客户端请求访问该购物网站的网站后台。假设现在用户1希望访问网站后台,则用户1发送一个http访问请求,该http访问请求会通过交换机,在通过交换机的时候,镜像端口就会生成该http访问请求的镜像数据,当然交换机的正常的网络端口会将该http访问请求分发至所请求的目的地址。
这时,检测服务器从镜像端口获取的镜像网络流量中就会携带用户1的http请求,检测服务器中可以包括以下几个模块:
1)流量日志采集模块
在Web应用中,一般都会有正常的请求和访问,这些请求一般都是基于HTTP超文本传输协议的,这个协议具有固定的标准格式,可以在通过交换机的镜像网络流量中,根据此协议的格式,提取出所有HTTP协议的报文,并将提取到的所有报文,记录到数据库中。流量日志采集模块的作用,就是从交换机的镜像网络流量中提取出满足http协议的报文。
2)后台登陆行为识别模块
一条HTTP请求中,一般会包含如下几个关键字段的信息:
URL:表示当前请求传递给服务器上哪个资源进行处理;
Host:表示当前请求的域名;
源IP:表示发起当前请求的IP地址;
method:表示当前请求使用的HTTP方法,例如:GET、POST;
post数据包:当使用POST方法时,向服务器传送的数据包,通常用户登陆的用户名和密码信息存放在此字段;
set-cookie:表示当前服务器设置的cookie字段信息;
Location:浏览器接收到此请求时,会跳转至Location字段中指定的地址。
因为,对于一次登陆操作,当用户登录成功时,会有以下的特征:set-cookie包含了登陆成功后新生成的cookie字段信息;location字段会指定浏览器跳转到后台首页。当用户登录失败时,只会返回“用户名、密码错误“之类的提示页面,不会set-cookie或跳转到后台首页地址,这些判断所需的字段,都是会在HTTP日志中存放的。
因此,后台登陆行为识别模块可以根据这些特征和规则,从http日志中收集后台登陆成功的特征,可以对其进行聚类分析或者是建模。
在上述流量日志采集模块实时获取到交换机的镜像网络流量中的http请求报文之后,后台登陆行为识别模块就可以从中识别出哪些是后台登陆请求,并可以从中提取出这些后台登陆请求登陆时的源IP地址、用户名、密码等信息。进一步的,基于训练得到的规则,可以判断出哪些后台登陆请求是成功的,哪些后台登陆请求是失败。
假设上述用户1所发送的http请求登陆后台成功,那么相应的,后台登陆行为识别模块也就会识别出该请求是登陆后台成功的事件,可以将其记录到数据库中。
3)后台异常登陆分析模块
该后台异常登陆分析模块,主要实现两部分功能:第一个部分是常用登陆地的学习,第二个部分是异地登陆的告警。
对于常用登陆地址的学习部分,该后台异常登陆分析模块会针对XX购物网站的后台地址前15天内的登陆IP进行建模,计算出IP地址对应的地理位置,对这部分地理位置进行省份、城市的分类,当一个登陆地理位置占所有登陆成功事件次数的50%以上时,认为该地理位置是常用登陆地址。
对于异地登陆的告警部分,主要是实现对一次非常用登陆地址后台登陆事件的告警功能。当登陆成功事件触发时候,会将此时登陆的源IP地址转化为地理位置,判断该地理位置是否为常用登陆地,如果非常用登陆地,则发出告警。例如,上述用户1的http请求登陆后台成功,那么就会用户1请求时候的IP地址进行分析,确定用户1所在的地理位置是否为常用登陆地,如果是,则通过,如果不是,则进行异地登陆告警。
根据本申请实施例,还提供了一种检测服务器,图5是本申请实施例的一种检测服务器的硬件结构框图。如图5所示,该检测服务器10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、进一步的,还可以包括用于存储数据的存储器104、用于通信功能的通信模块106、或者是用于显示的显示器108。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述检测服务器的结构造成限定。例如,该检测服务器中,可以仅设置处理器102和通信模块106,也可以仅设置处理器102和存储器104,该检测服务器10还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的后台登陆行为检测方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的后台登陆行为检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至该检测服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。在本例中,存储器104可以存储识别出的网站后台登陆请求记录。
传输模块106用于经由一个网络接收或者发送数据。在一个实例中,传输模块106包括一个网络适配器(Network Interface Controller,NIC),其可通过与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯,在本例中,通信模块106可以将识别出的网站后台登陆请求记录发送出去。
上述处理器102可以用于获取镜像网络流量数据,并对镜像网络流量数据进行分析,识别出网站后台登陆请求。进一步的,该处理器102还可以在识别出网站后台登陆请求之后,确定识别出的网站后台登陆请求是否登陆成功。相应的,存储器104可以在确定登陆成功的情况下,存储后台登陆成功记录;在确定登陆失败的情况下,存储后台登陆失败记录。
在处理器102获取到后台登陆请求之后,并判断出是否登陆成功之后,可以将这些记录存储在数据库中,也可以提供一个显示器直接进行显示,也可以通过通信模块直接将记录发送到外部服务器或者外部处理单元。具体采用哪种方式对检测到的记录进行处理可以根据实际需要选择,本申请对此不作限定。
具体地,在本例中,在不对用户业务代码进行修改的情况下,通过对旁路镜像的网络流量数据进行分析,获取其中的网站后台登陆行,输出后台登陆成功记录,包含登陆成功、登陆失败的记录。进一步的,对已有登陆成功记录进行建模分析,当一次登陆成功事件出现异常时候,可以产生预警。
在本例中的后台登陆行为检测方法,与现有的后台登陆行为检测方法的主要差别在于,本例是通过对流量日志中的特征分析获得后台登陆行为,并能准确判断是否登陆成功,与现有的后台登陆事件检测方案有明显的不同,现有的后台登陆行为检测方法只能针对单一的业务或者应用程序,在业务或应用中,需要增加后台登陆的日志记录代码,每一个不同的应用需要做不同的方案,无法做到一种通用的检测方法。本例的后台登陆行为检测方法可以实现一种通用的后台登陆行为检测。
本申请中各个实施例所涉及的上述描述仅是本申请中的一些实施例中的应用,在某些标准、模型、方法的基础上略加修改后的实施方式也可以实行上述本申请各实施例的方案。当然,在符合本申请上述各实施例的中所述的处理方法步骤的其他无创造性的变形,仍然可以实现相同的申请,在此不再赘述。
虽然本申请提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
上述实施例阐明的装置或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。当然,也可以将实现某功能的模块由多个子模块或子单元组合实现。
本申请中所述的方法、装置或模块可以以计算机可读程序代码方式实现控制器按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本申请所述装置中的部分模块可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的硬件的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,也可以通过数据迁移的实施过程中体现出来。该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,移动终端,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。本申请的全部或者部分可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、移动通信终端、多处理器系统、基于微处理器的系统、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
虽然通过实施例描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
Claims (16)
1.一种后台登陆行为检测方法,其特征在于,所述方法包括:
获取网络流量数据;
将所述网络流量数据与预设规则进行匹配,识别出所述网络流量数据中的网站后台登陆请求;
记录识别出的网站后台登陆请求。
2.根据权利要求1所述的方法,其特征在于:
在识别出网站后台登陆请求之后,还包括:确定识别出的网站后台登陆请求是否登陆成功;
在记录识别出的网站后台登陆请求记录的过程中,还包括:如果确定登陆成功,则记录后台登陆成功记录;如果确定登陆失败,则记录后台登陆失败记录。
3.根据权利要求2所述的方法,其特征在于,确定识别出的网站后台登陆请求是否登陆成功,包括:
提取识别出的网站后台登陆请求的HTTP请求中的字段信息;
将提取的字段信息与预设的后台登陆成功规则进行匹配;
如果匹配成功,则确定登陆成功;
如果匹配失败,则确定登陆失败。
4.根据权利要求3所述的方法,其特征在于,生成预设的后台登陆成功规则包括:
获取当前网站的HTTP日志;
从所述HTTP日志中,提取多条HTTP请求;
从所述多条HTTP请求中,识别出后台登陆请求;
提取识别出的后台登陆请求的字段信息;
对提取的字段信息进行特征聚类,生成后台登陆成功规则。
5.根据权利要求4所述的方法,其特征在于,所述后台登陆成功规则包括以下至少之一:
Set-cookie字段中携带有登陆成功后生成的cookie字段信息;
或者,Location字段指示浏览器跳转至后台页面。
6.根据权利要求1所述的方法,其特征在于,将所述网络流量数据与预设规则进行匹配,识别出所述网络流量数据中的网站后台登陆请求,包括:
识别出所述网络流量数据中的HTTP请求;
确定识别出的各条HTTP请求中URL字段是否包含所述网站后台的URL;
将包含有所述网站后台的URL的HTTP请求作为识别出的网站后台登陆请求。
7.根据权利要求1至6中任一项所述的方法,其特征在于,在识别出网站后台登陆请求之后,还包括:
确定识别出的网站后台登陆请求是否登陆成功;
如果登陆成功,则获取所述网站后台登陆请求的源IP;
根据所述源IP地址中的地址标识字段,确定所述IP地址所属的地理位置;
确定所述地理位置所标识的地址是否为预设的常用登陆地;
如果不是,则确定所述网站后台登陆请求为后台入侵。
8.根据权利要求1至6中任一项所述的方法,其特征在于,获取网络流量数据,包括:
通过镜像方式获取镜像流量数据,将获取的所述镜像流量数据作为所述网络流量数据。
9.一种检测服务器,其特征在于,包括:处理器和存储器,其中,
所述处理器,用于获取网络流量数据;将所述网络流量数据与预设规则进行匹配,识别出所述网络流量数据中的网站后台登陆请求;
所述存储器,用于记录识别出的网站后台登陆请求。
10.根据权利要求9所述的服务器,其特征在于,所述处理器还用于在识别出网站后台登陆请求之后,确定识别出的网站后台登陆请求是否登陆成功;
所述存储器,还用于在确定登陆成功的情况下,记录后台登陆成功记录,在确定登陆失败的情况下,记录后台登陆失败记录。
11.根据权利要求10所述的服务器,其特征在于,所述处理器具体用于按照以下方式确定识别出的网站后台登陆请求是否登陆成功:
提取识别出的网站后台登陆请求的HTTP请求中的字段信息;
将提取的字段信息与预设的后台登陆成功规则进行匹配;
如果匹配成功,则确定登陆成功;
如果匹配失败,则确定登陆失败。
12.根据权利要求11所述的服务器,其特征在于,还包括:
规则生成器,用于按照以下方式生成预设的后台登陆成功规则:获取当前网站的HTTP日志;从所述HTTP日志中,提取多条HTTP请求;从所述多条HTTP请求中,识别出后台登陆请求;提取识别出的后台登陆请求的字段信息;对提取的字段信息进行特征聚类,生成后台登陆成功规则。
13.根据权利要求12所述的服务器,其特征在于,所述后台登陆成功规则包括以下至少之一:
Set-cookie字段中携带有登陆成功后生成的cookie字段信息;
或者,Location字段指示浏览器跳转至后台页面。
14.根据权利要求9所述的服务器,其特征在于,所述处理器具体用于识别出网络流量数据中的HTTP请求;确定识别出的各条HTTP请求中URL字段是否包含所述网站后台的URL;将包含有所述网站后台的URL的HTTP请求作为识别出的网站后台登陆请求。
15.根据权利要求9至14中任一项所述的服务器,其特征在于,所述处理器还用于在识别出网站后台登陆请求之后,确定识别出的网站后台登陆请求是否登陆成功;如果登陆成功,则获取所述网站后台登陆请求的源IP;根据所述源IP地址中的地址标识字段,确定所述IP地址所属的地理位置;确定所述地理位置所标识的地址是否为预设的常用登陆地;如果不是,则确定所述网站后台登陆请求为后台入侵。
16.根据权利要求9至14中任一项所述的服务器,其特征在于,所述处理器具体用于通过镜像方式获取镜像流量数据,将获取的所述镜像流量数据作为所述网络流量数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611199355.3A CN108234431A (zh) | 2016-12-22 | 2016-12-22 | 一种后台登陆行为检测方法和检测服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611199355.3A CN108234431A (zh) | 2016-12-22 | 2016-12-22 | 一种后台登陆行为检测方法和检测服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108234431A true CN108234431A (zh) | 2018-06-29 |
Family
ID=62657018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611199355.3A Pending CN108234431A (zh) | 2016-12-22 | 2016-12-22 | 一种后台登陆行为检测方法和检测服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108234431A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109189642A (zh) * | 2018-09-04 | 2019-01-11 | 广州供电局有限公司 | 基于插件的应用系统业务行为特征获取方法及监控系统 |
| CN110138719A (zh) * | 2019-03-05 | 2019-08-16 | 北京车和家信息技术有限公司 | 一种网络安全的检测方法、装置及电子设备 |
| CN110611684A (zh) * | 2019-09-27 | 2019-12-24 | 国网电力科学研究院有限公司 | 一种周期性Web访问行为的检测方法、系统及存储介质 |
| CN113783856A (zh) * | 2021-08-30 | 2021-12-10 | 杭州安恒信息技术股份有限公司 | 宝塔面板的检测方法、装置和计算机设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN1889440A (zh) * | 2006-07-31 | 2007-01-03 | 南京信风软件有限公司 | Web信息推送所使用的http响应合成方法 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101296256A (zh) * | 2008-06-19 | 2008-10-29 | 中国电信股份有限公司 | 一种利用互联网实现信息精确推送的方法及系统 |
| CN101425937A (zh) * | 2007-11-02 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种适于高速局域网环境的sql注入攻击检测系统 |
| CN101626295A (zh) * | 2008-07-08 | 2010-01-13 | 中国移动通信集团公司 | 一种网络登录的安全保障方法及其装置和系统 |
| CN103051497A (zh) * | 2012-12-28 | 2013-04-17 | 华为技术有限公司 | 业务流镜像方法及镜像设备 |
| WO2015030753A1 (en) * | 2013-08-28 | 2015-03-05 | Empire Technology Development, Llc | Smart power background to validate user |
| CN105871775A (zh) * | 2015-01-19 | 2016-08-17 | 中国移动通信集团公司 | 一种安全防护方法及dpma防护模型 |
| CN106209907A (zh) * | 2016-08-30 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种检测恶意攻击的方法及装置 |
-
2016
- 2016-12-22 CN CN201611199355.3A patent/CN108234431A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN1889440A (zh) * | 2006-07-31 | 2007-01-03 | 南京信风软件有限公司 | Web信息推送所使用的http响应合成方法 |
| CN101425937A (zh) * | 2007-11-02 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种适于高速局域网环境的sql注入攻击检测系统 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101296256A (zh) * | 2008-06-19 | 2008-10-29 | 中国电信股份有限公司 | 一种利用互联网实现信息精确推送的方法及系统 |
| CN101626295A (zh) * | 2008-07-08 | 2010-01-13 | 中国移动通信集团公司 | 一种网络登录的安全保障方法及其装置和系统 |
| CN103051497A (zh) * | 2012-12-28 | 2013-04-17 | 华为技术有限公司 | 业务流镜像方法及镜像设备 |
| WO2015030753A1 (en) * | 2013-08-28 | 2015-03-05 | Empire Technology Development, Llc | Smart power background to validate user |
| CN105871775A (zh) * | 2015-01-19 | 2016-08-17 | 中国移动通信集团公司 | 一种安全防护方法及dpma防护模型 |
| CN106209907A (zh) * | 2016-08-30 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种检测恶意攻击的方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109189642A (zh) * | 2018-09-04 | 2019-01-11 | 广州供电局有限公司 | 基于插件的应用系统业务行为特征获取方法及监控系统 |
| CN110138719A (zh) * | 2019-03-05 | 2019-08-16 | 北京车和家信息技术有限公司 | 一种网络安全的检测方法、装置及电子设备 |
| CN110138719B (zh) * | 2019-03-05 | 2022-05-27 | 北京车和家信息技术有限公司 | 一种网络安全的检测方法、装置及电子设备 |
| CN110611684A (zh) * | 2019-09-27 | 2019-12-24 | 国网电力科学研究院有限公司 | 一种周期性Web访问行为的检测方法、系统及存储介质 |
| CN113783856A (zh) * | 2021-08-30 | 2021-12-10 | 杭州安恒信息技术股份有限公司 | 宝塔面板的检测方法、装置和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107465651B (zh) | 网络攻击检测方法及装置 | |
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| CN108282440B (zh) | 一种安全检测方法、安全检测装置及服务器 | |
| CN108154029A (zh) | 入侵检测方法、电子设备和计算机存储介质 | |
| CN102710770A (zh) | 一种上网设备识别方法及其实现系统 | |
| CN108234431A (zh) | 一种后台登陆行为检测方法和检测服务器 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| WO2022257226A1 (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN104954340B (zh) | 一种代理ip地址的检测方法及装置 | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN113542227A (zh) | 账号安全防护方法、装置、电子装置和存储介质 | |
| CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
| CN112565226A (zh) | 请求处理方法、装置、设备及系统和用户画像生成方法 | |
| CN114528457A (zh) | Web指纹检测方法及相关设备 | |
| CN109428857A (zh) | 一种恶意探测行为的检测方法和装置 | |
| CN112801359A (zh) | 工业互联网安全态势预测方法、装置、电子设备及介质 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| US20240089260A1 (en) | System and method for graduated deny list | |
| CN113918938A (zh) | 一种持续免疫安全系统的用户实体行为分析方法及系统 | |
| EP3789890A1 (en) | Fully qualified domain name (fqdn) determination | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180629 |
|
| RJ01 | Rejection of invention patent application after publication |